Сайт о телевидении

Акт классификации ИСПДн, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Как составить акт классификации ИСПДн

Акт классификации составляется для каждой выявленной ИСПДн. На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных. Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В акте указывается:

• обрабатываемые в системе персональные данные;
• объем обрабатываемых персональных данных;
• тип актуальных угроз для ИСПДн;
• структура информационной системы;
• наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
• режим обработки персональных данных в системе;
• разграничение прав доступа пользователей;
• местонахождение ИСПДн;
• уровень защищенности ПДн.

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

• специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
• биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
• общедоступные персональные данные – сведения, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:

• более чем 100 000 субъектов ПДн;
• менее чем 100 000 субъектов ПДн.

Виды угроз безопасности персональных данных

Тип актуальных угроз для ИСПДн:

• угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
• угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
• угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).

Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Большинство существующих ИСПДн – специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Классификация информационных системы персональных данных по структуре:

• Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
• Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
• Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Классификация многопользовательских ИСПДн делятся на:

• Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
• С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.

По месту нахождения ИСПДн делятся на.

Информационные системы персональных данных (ИСПДн) используют в своей работе многие предприятия и организации. Давайте разберемся, что это такое, и какие нюансы нужно учитывать тем, кто работает с ИСПДн.

Что такое ИСПДН?

Если говорить просто, информационная система ИСПДн используется для хранения и обработки персональных данных. В ее составе выделяют следующие составляющие:

• Собственно, совокупность персональных данных, хранящихся в системе, в базе данных.
• Технические средства, использующиеся для работы с этими данными.
• Средства автоматизации процессов учета и обработки сведений, хранящихся в ИСПДн (могут быть не во всех системах).

ИСПДН – это серьезно

При использовании рассматриваемых систем важно обеспечить защиту персональных данных от несанкционированного доступа, утери и прочих нештатных ситуаций. Это прописано даже на законодательном уровне. А для того, чтобы принять советующие меры по ограничению доступа к сведениями и по их защите, проводится аудит ИСПДн (подробнее можно узнать, например, у специалистов компании «Rentacloud»: http://rentacloud.su/services/zashchita-personalnykh-dannykh/audit/). По его результатам составляется акт, содержащий следующую информацию:

• Категория персональных данных, которые хранятся и обрабатываются в обследованной системе.
• Их класс и тип (об этом — ниже).
• Параметры и структура исследуемой системы.
• Объемы ПДн (количество записей и пр.), хранящихся и обрабатываемых в ИСПДн.
• Сведения о местонахождении системы.
• Информация о возможности доступа к базе данных посредствам сетей, доступных для общего пользования (ЛВС, интернет и пр.).

Аудит проводится в точном соответствии с совместным документом, подготовленным Министерством связи, ФСТЭК и ФСБ. Он весьма объемный и требует досконального изучения. В связи с этим аудит системы и составление рекомендаций, на которых будет основываться защита ИСПДн, необходимо доверять специалистам. Их услугами можно воспользоваться, например, обратившись в компанию «Rentacloud»: (http://rentacloud.su).

Типы, классы ИСПДн, и что еще нужно знать про такие системы

Информационные системы персональных данных (ПДн) подразделяются на 4 класса и 2 типа. Разделение на классы осуществляется на основе таких признаков, как категория обрабатываемых ПДн, и их объемы.

Классы

Разобраться с этим вам поможет таблица:

Пояснения к таблице.

К категории под номером 4 относятся обезличенные ПДн, по которым невозможно идентифицировать конкретного субъекта (пример – статистические данные). К Кат 3 отнесены ПДн, на основе которых возможна только идентификация человека (встречаются довольно редко). Категория 2 включает данные, на основе которых можно провести идентификацию человека, и получить о нем некоторые дополнительные сведения (пример – системы начисления заработной платы в организациях и на предприятиях). К первой категории отнесены данные, содержащие сведения о национальности, состоянии здоровья и другие социальные сведения, и информация иного характера (пример – базы данных учреждений здравоохранения).

Что касается классов, указанных в таблице, отнесение ИСПДН к ним осуществляется на основе возможного ущерба для субъектов при нарушении условий безопасности:

• Кл 4. Какие-либо негативные последствия для субъекта исключены.
• Кл 3. Могут иметь место незначительные негативные последствия.
• Кл 2. Возникновение таких последствий.
• Кл 1. Возможны весьма серьезные негативные последствия.

Типы ИСПДн

К первому типу отнесены системы, где функции защиты ИСПДн сводятся только к достижению нужных показателей ее конфиденциальности. Если же, помимо конфиденциальности, есть необходимость обеспечении еще хотя бы одного дополнительного показателя безопасности (аутентичность, доступность, целостность данных и пр.), речь идет о втором типе.

Стоит отметить, что большинство используемых сегодня систем отнесены ко второму типу.

Видно, что разработка ИСПДн, их классификация и обеспечение надежной, эффективной защиты – весьма сложные и многогранные процессы. И чтобы не допустить ошибок, целесообразно доверить это специалистам. Обратиться для этого можно, к примеру, в компанию «Rentacloud», занимающую на этом рынке одну из лидирующих позиций.

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:

• Сбор и анализ исходных данных по информационной системе;
• Присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд ?
2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд ?
3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
4. Какая структура информационной системы?
5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
6. Какой режим обработки персональных данных?
7. Какой режим разграничения прав доступа пользователей информационной системы?
8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

1. категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
2. категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 ;
3. категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
4. категория 4 - обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

• 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

• конфиденциальность
• целостность
• доступность

ДОПОЛНИТЕЛЬНЫЕ:

• неотказуемость
• учетность (подконтрольность)
• аутентичность (достоверность)
• адекватность

Структура информационной системы подразделяется на:

• автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
• комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
• комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

• однопользовательский ;
• многопользовательский .

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

• без разграничения прав доступа;
• с разграничением прав доступа.

Информационные системы делятся на типовую и специальную .
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

• Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
2. класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.